我希望有一个REGEX来过滤/匹配QUERY_STRING,只要包含像这些参数php|data| ftp|http|..|/|:// 以及可用于远程文件包含的任何其他字符。
感谢大家的宝贵时间:
PS:我知道使用 htaccess 效果更好,但我现在需要一个正则表达式。
最佳答案
不要,如果这是你的安全措施,它很可能会被破坏。在包含/要求任何内容之前,将其列入白名单和/或检查本地文件是否存在。更好的是:不要让任何人对您在外部变量中包含的文件有任何直接影响。
关于php - 使用 REGEX 过滤/清理 QUERY_STRING 以防止 RFI 攻击,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/6677720/